KI im Unternehmen: Haftungsrisiken und Versicherungsschutz
Allgemeine Information — keine individuelle Beratung, keine Gewähr.
Auf einen Blick: Wer KI im Unternehmen einsetzt, haftet für deren Fehler — die KI ist Ihr Werkzeug, nicht Ihr Stellvertreter. Der EU AI Act sieht bei Verstößen Bußgelder bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes vor, und Standard-Betriebshaftpflichtpolicen schließen reine Vermögensschäden durch KI-Fehler häufig aus.
KI-Einsatz schafft neue Haftungsrisiken
Immer mehr Unternehmen setzen künstliche Intelligenz ein: Chatbots im Kundenservice, automatisierte Kreditprüfung, KI-gestützte Qualitätskontrolle, Predictive Maintenance oder personalisierte Empfehlungen. Doch wer haftet, wenn die KI einen Fehler macht — ein falsches Medikament empfiehlt, einen kreditwürdigen Kunden ablehnt oder eine diskriminierende Entscheidung trifft?
Die Haftungsfrage ist komplex, weil KI-Systeme weder Vertragspartner noch Arbeitnehmer sind. Die Verantwortung liegt bei Ihnen als Anwender — und Ihr bestehender Versicherungsschutz deckt KI-Risiken möglicherweise nicht vollständig ab.
Der EU AI Act: Was sich für Unternehmen ändert
Die EU-KI-Verordnung (AI Act) trat im August 2024 in Kraft und wird stufenweise bis 2027 umgesetzt. Sie teilt KI-Systeme in Risikoklassen ein:
- Verbotene KI: Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung (mit Ausnahmen)
- Hochrisiko-KI: Systeme in Bereichen wie Kreditvergabe, Personalrekrutierung, medizinische Diagnostik, Bildung, Strafverfolgung
- Begrenztes Risiko: Chatbots, Deepfake-Generatoren (Transparenzpflichten)
- Minimales Risiko: Spamfilter, Videospiel-KI (keine besonderen Pflichten)
Für Hochrisiko-KI gelten strenge Anforderungen: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und Dokumentation. Verstöße können mit Bußgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes sanktioniert werden.
Wer haftet bei KI-Fehlern?
Vertragliche Haftung
Wenn Sie KI-Systeme einsetzen, um Dienstleistungen zu erbringen — etwa eine KI-gestützte Steuerberatung oder Finanzplanung —, haften Sie gegenüber Ihrem Kunden aus dem Vertrag. Die KI ist Ihr Werkzeug, nicht Ihr Stellvertreter. Ein Fehler der KI ist Ihr Fehler.
Deliktische Haftung
Verursacht Ihre KI einen Schaden bei Dritten (z. B. eine fehlerhafte Produktempfehlung), haften Sie nach § 823 BGB, wenn Sie Ihre Sorgfaltspflichten verletzt haben. Dazu gehört:
- Auswahl eines geeigneten KI-Systems
- Ausreichende Überwachung und Kontrolle der KI-Ergebnisse
- Regelmäßige Prüfung auf Bias und Fehler
- Angemessene Schulung der Mitarbeiter
Produkthaftung
Wenn Sie ein Produkt mit integrierter KI herstellen oder vertreiben, kann die KI-Komponente einen Produktfehler darstellen. Eine Produkthaftpflichtversicherung deckt die daraus resultierenden Ansprüche. Die EU-Produkthaftungsrichtlinie (2024 überarbeitet) erfasst ausdrücklich auch Software und KI-Systeme.
Datenschutz
KI-Systeme verarbeiten häufig personenbezogene Daten. Automatisierte Einzelentscheidungen unterliegen nach Art. 22 DSGVO besonderen Anforderungen. Betroffene haben ein Recht auf menschliche Überprüfung. Verstöße können DSGVO-Bußgelder nach sich ziehen.
Bestehende Versicherungen und KI-Lücken
Was Ihre aktuellen Policen abdecken könnten
- Betriebshaftpflicht: Deckt Personen- und Sachschäden, die durch Ihren Betrieb verursacht werden — auch durch KI-gestützte Prozesse, sofern diese zum versicherten Betriebsrisiko gehören
- Berufshaftpflicht: Deckt Vermögensschäden durch fehlerhafte Beratung — auch wenn KI als Hilfsmittel eingesetzt wurde
- D&O-Versicherung: Schützt die Geschäftsführung bei Pflichtverletzungen, auch bei mangelhafter KI-Governance
- Cyber-Versicherung: Deckt Datenschutzverletzungen und IT-Ausfälle — auch wenn KI-Systeme betroffen sind
Wo typische Lücken entstehen
- Reine Vermögensschäden durch KI-Fehler: Nicht jede Betriebshaftpflicht deckt Vermögensschäden ab
- Algorithmische Diskriminierung: Schadensersatzansprüche wegen KI-Bias sind ein neues Risiko, das in vielen AVB nicht explizit geregelt ist
- AI-Act-Bußgelder: Behördliche Bußgelder sind in Deutschland grundsätzlich nicht versicherbar. Aber die Kosten der Verteidigung (Anwalts- und Verfahrenskosten) können über eine Rechtsschutzversicherung abgedeckt sein
- Autonome Entscheidungen: Wenn die KI eigenständig Entscheidungen trifft (z. B. automatische Kreditablehnung), kann die Frage entstehen, ob der Versicherer dies noch als versicherte Betriebstätigkeit ansieht
Praktische Empfehlungen
- KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein? In welcher Risikoklasse befinden sie sich nach dem AI Act?
- Bestehende Policen prüfen: Sind KI-Risiken in Ihrer Betriebshaftpflicht und Berufshaftpflicht abgedeckt oder ausgeschlossen?
- Menschliche Kontrolle sicherstellen: Automatisierte Entscheidungen sollten durch Menschen überprüfbar sein — das reduziert das Haftungsrisiko und erfüllt DSGVO-Anforderungen
- Dokumentation aufbauen: Halten Sie fest, welche KI-Systeme Sie nutzen, wie Sie sie überwachen und welche Maßnahmen Sie bei Fehlern ergreifen
- Versicherungsschutz anpassen: Sprechen Sie mit Ihrem Makler über KI-spezifische Deckungserweiterungen
Kostenbeispiele: Was KI-Versicherungsschutz kostet
Die Kosten für eine Absicherung gegen KI-Risiken hängen stark von Ihrer Branche, dem Umsatz und der Art der eingesetzten KI-Systeme ab. Die folgende Tabelle gibt eine Orientierung:
| Unternehmensgröße | KI-Einsatz | Deckungssumme | Jahresprämie (ca.) |
|---|---|---|---|
| Startup (5 Mitarbeiter) | Chatbot im Kundenservice | 500.000 € | 800 – 1.500 € |
| Mittelstand (50 Mitarbeiter) | KI-gestützte Qualitätskontrolle | 2 Mio. € | 3.000 – 6.000 € |
| Mittelstand (50 Mitarbeiter) | Automatisierte Kreditprüfung | 5 Mio. € | 5.000 – 12.000 € |
| Großunternehmen (500+ Mitarbeiter) | Hochrisiko-KI (Personalauswahl, Diagnostik) | 10 Mio. € | 15.000 – 40.000 € |
| Softwarehaus / KI-Entwickler | Eigene KI-Produkte an Kunden | 5 Mio. € | 8.000 – 20.000 € |
Wichtig: Diese Werte dienen als Richtwerte. Die tatsächliche Prämie kann je nach Versicherer, Vorschadenhistorie und konkretem Risikoprofil erheblich abweichen. Eine Berufshaftpflicht mit KI-Erweiterung ist häufig günstiger als eine separate KI-Police — allerdings nur, wenn die Deckung tatsächlich ausreicht.
Schadenszenarien aus der Praxis
Szenario 1: Fehlerhafter Chatbot gibt falsche Rechtsauskunft
Ein mittelständisches Inkassounternehmen setzt einen KI-Chatbot ein, der Kunden über Verjährungsfristen informiert. Der Chatbot gibt einem Kunden die falsche Auskunft, seine Forderung sei noch nicht verjährt. Der Kunde verzichtet deshalb auf eine rechtzeitige Klage und verliert seine Forderung in Höhe von 45.000 Euro. Der Vermögensschaden fällt dem Unternehmen zur Last. Eine Berufshaftpflicht mit erweiterter KI-Klausel hätte den Schaden gedeckt — die Standard-Betriebshaftpflicht des Unternehmens schloss reine Vermögensschäden jedoch aus.
Szenario 2: KI-gestützte Personalauswahl diskriminiert
Ein Technologieunternehmen nutzt ein KI-Tool zur Vorauswahl von Bewerbungen. Das System sortiert systematisch Bewerberinnen mit Karrierelücken aus, was überproportional Frauen betrifft. Drei abgelehnte Bewerberinnen klagen wegen Verstoßes gegen das Allgemeine Gleichbehandlungsgesetz (AGG). Die Schadensersatzforderungen belaufen sich auf insgesamt 78.000 Euro (drei Monatsgehälter pro Klägerin). Hinzu kommen Anwalts- und Verfahrenskosten von 35.000 Euro. Das Unternehmen hatte keine Police, die Diskriminierungsrisiken durch algorithmischen Bias abdeckte.
Szenario 3: Autonome Produktionssteuerung verursacht Sachschaden
Ein Automobilzulieferer nutzt eine KI zur Steuerung einer Schweißroboter-Linie. Durch einen Trainingsdatenfehler schweißt die KI eine Serie von 2.000 Bauteilen mit unzureichender Nahttiefe. Der Rückruf und die Nachproduktion kosten 320.000 Euro, der Stillstand der Produktion weitere 85.000 Euro. Die Betriebshaftpflicht deckte den Sachschaden an den Bauteilen, nicht aber die Folgekosten des Produktionsausfalls. Eine erweiterte Maschinenbruch- oder Betriebsunterbrechungsversicherung mit KI-Klausel hätte die Lücke geschlossen.
Szenario 4: KI-Fehldiagnose in der Telemedizin
Eine telemedizinische Plattform setzt eine KI zur Ersteinschätzung von Hautveränderungen ein. Das System stuft ein Melanom fälschlicherweise als harmloses Muttermal ein. Der Patient sucht erst Monate später einen Dermatologen auf — das Melanom hat sich inzwischen ausgebreitet. Die Schadensersatzforderung beläuft sich auf 250.000 Euro für Behandlungskosten und Schmerzensgeld. Die Berufshaftpflicht der Plattform deckte den Fall, allerdings nur, weil im Versicherungsvertrag explizit KI-gestützte Diagnosehilfen als versicherte Tätigkeit aufgeführt waren.
Versicherungsvergleich: Standard vs. KI-erweiterte Policen
| Merkmal | Standard-Police | KI-erweiterte Police |
|---|---|---|
| Personen- und Sachschäden | ✓ Gedeckt | ✓ Gedeckt |
| Reine Vermögensschäden durch KI | ✗ Oft ausgeschlossen | ✓ Explizit eingeschlossen |
| Algorithmische Diskriminierung (AGG) | ✗ Nicht geregelt | ✓ Deckung für Bias-Schäden |
| DSGVO-Verstöße durch automatisierte Entscheidungen | △ Teilweise über Cyber-Police | ✓ Umfassende Deckung |
| Kosten der AI-Act-Compliance | ✗ Nicht gedeckt | △ Beratungskosten teilweise gedeckt |
| Verteidigungskosten bei Bußgeldverfahren | △ Nur mit Rechtsschutz | ✓ Meist eingeschlossen |
| Kosten für Krisenmanagement / PR | ✗ Nicht gedeckt | ✓ Häufig enthalten |
| Nachbesserungskosten bei fehlerhafter KI-Ausgabe | ✗ Nicht gedeckt | ✓ Je nach Tarif gedeckt |
KI-Risiken professionell absichern
Der KI-Einsatz im Unternehmen ist längst keine Zukunftsmusik mehr — aber die Versicherungsbranche hinkt der Entwicklung noch hinterher. Als Ihr Versicherungsmakler prüfe ich, ob Ihre bestehenden Policen KI-Risiken abdecken, und finde Lösungen für offene Lücken.
Häufige Fehler beim KI-Versicherungsschutz
-
Den Versicherer nicht über den KI-Einsatz informieren: Viele Unternehmen setzen KI ein, ohne ihren Versicherer darüber in Kenntnis zu setzen. Das kann im Schadenfall dazu führen, dass der Versicherer die Leistung wegen Gefahrerhöhung (§ 23 VVG) kürzt oder verweigert. Melden Sie jeden produktiven KI-Einsatz proaktiv.
-
Auf die Standard-Betriebshaftpflicht vertrauen: Eine klassische Betriebshaftpflichtversicherung deckt Personen- und Sachschäden ab, schließt aber reine Vermögensschäden häufig aus. Gerade bei KI-Fehlern — etwa einer falschen Bonitätsbewertung oder einer fehlerhaften Empfehlung — entstehen jedoch reine Vermögensschäden.
-
Open-Source-KI ohne Prüfung einsetzen: Frei verfügbare KI-Modelle (z. B. von Hugging Face) unterliegen keiner Gewährleistung. Wenn Sie ein Open-Source-Modell in einem kundenbezogenen Prozess einsetzen und es zu einem Schaden kommt, liegt die volle Haftung bei Ihnen. Versicherer erwarten, dass Sie die Eignung des Modells dokumentiert geprüft haben.
-
Keine menschliche Kontrolle bei Hochrisiko-Entscheidungen: Der EU AI Act verlangt für Hochrisiko-KI eine menschliche Aufsicht (Human-in-the-Loop). Fehlt diese, verstoßen Sie nicht nur gegen regulatorische Pflichten — Sie verlieren möglicherweise auch Ihren Versicherungsschutz, weil Sie eine Sorgfaltspflicht verletzt haben.
-
KI-Governance als einmaliges Projekt behandeln: KI-Modelle verändern sich durch Updates, neue Trainingsdaten oder veränderte Einsatzbedingungen. Wenn Sie Ihr Risikomanagement nicht kontinuierlich anpassen, können sowohl der Versicherungsschutz als auch die AI-Act-Compliance gefährdet sein.
Checkliste: KI-Versicherungsschutz im Unternehmen
Nutzen Sie diese Checkliste, um Ihren aktuellen Stand zu prüfen:
- KI-Inventar erstellt: Alle eingesetzten KI-Systeme sind dokumentiert
- Risikoklassifizierung nach EU AI Act durchgeführt
- Bestehende Policen auf KI-Ausschlüsse geprüft
- Versicherer über produktiven KI-Einsatz informiert
- Deckung für reine Vermögensschäden durch KI-Fehler vorhanden
- Deckung für algorithmische Diskriminierung (AGG-Ansprüche) geprüft
- Human-in-the-Loop-Prozesse für Hochrisiko-KI eingerichtet
- Dokumentation der KI-Überwachung und Qualitätssicherung aufgebaut
- Mitarbeiter im Umgang mit KI-Systemen geschult
- Notfallplan für KI-Fehlfunktionen erstellt
- Cyber-Versicherung auf KI-bezogene Datenschutzvorfälle geprüft
- Regelmäßige Überprüfung des KI-Risikomanagements terminiert
Häufig gestellte Fragen
Brauche ich eine separate KI-Versicherung? In den meisten Fällen nicht. Häufig lassen sich bestehende Policen — Betriebshaftpflicht, Berufshaftpflicht oder Cyber-Versicherung — durch KI-spezifische Klauseln erweitern. Eine separate KI-Police kann sinnvoll sein, wenn Sie KI-Produkte entwickeln und an Kunden vertreiben oder wenn Ihr KI-Einsatz in eine Hochrisiko-Kategorie nach dem EU AI Act fällt.
Sind KI-Bußgelder nach dem EU AI Act versicherbar? Bußgelder selbst sind in Deutschland grundsätzlich nicht versicherbar — das gilt auch für AI-Act-Bußgelder. Was Sie jedoch absichern können, sind die Kosten der Rechtsverteidigung: Anwaltshonorare, Verfahrenskosten und Gutachterkosten. Eine Rechtsschutzversicherung oder eine D&O-Police mit erweitertem Straf-Rechtsschutz deckt diese Kosten in der Regel ab.
Was passiert, wenn mein KI-Anbieter insolvent wird? Wenn der Anbieter Ihres KI-Systems insolvent wird, bleiben Sie als Betreiber für die Ergebnisse verantwortlich. Prüfen Sie vorab, ob Sie Zugang zum Quellcode oder Modell haben (Escrow-Vereinbarung), ob Ihre Versicherung auch dann leistet, wenn der KI-Anbieter nicht mehr erreichbar ist, und ob Sie auf ein alternatives System umstellen können.
Deckt meine Cyber-Versicherung auch KI-Risiken ab? Teilweise. Eine Cyber-Versicherung greift bei Datenschutzverletzungen, die durch KI-Systeme verursacht werden — etwa wenn ein KI-Tool personenbezogene Daten unzulässig verarbeitet oder ein Datenleck verursacht. Nicht gedeckt sind in der Regel Vermögensschäden durch fehlerhafte KI-Empfehlungen, Diskriminierungsansprüche oder Produkthaftungsfälle. Die Cyber-Police ist also ein Baustein, aber kein Ersatz für eine umfassende KI-Absicherung.
Ab wann greift der EU AI Act für mein Unternehmen? Die Umsetzung erfolgt stufenweise: Seit Februar 2025 gelten die Verbote für inakzeptable KI-Praktiken. Ab August 2025 müssen Anbieter von General-Purpose-AI-Modellen die Transparenzpflichten erfüllen. Ab August 2026 gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme. Unternehmen sollten sich jetzt vorbereiten, da die Umsetzung interner Compliance-Strukturen mehrere Monate in Anspruch nehmen kann.
Quellen
- Verordnung (EU) 2024/1689 — EU AI Act
- Art. 22 DSGVO — Automatisierte Entscheidungen im Einzelfall
- § 823 BGB — Schadensersatzpflicht
Weiterlesen
- Datenschutzverstoß: Welche Versicherung zahlt?
- Geschäftsführerhaftung
- Cyber-Versicherung
- EU AI Act: Wie KI Ihre Versicherung verändert